Recursos afectados

Potencialmente cualquier ordenador que haga uso del correo electrónico a través de clientes de correo Web (Hotmail, Gmail, Yahoo,…)

Solución

Configurar la recuperación de contraseñas a través de un correo alternativo.

Siempre que sea posible, utilizar la opción de configuración de recuperación de contraseñas con un correo electrónico alternativo. Para esto es necesario disponer de otra cuenta de correo electrónico personal.

Configurar la recuperación de contraseñas a través de la pregunta secreta.

La configuración de la pregunta secreta, debe ser un mecanismo de seguridad contra los atacantes. Por lo que la respuesta a la pregunta debe tener las siguientes características:

  • No estar basada en información verídica. Ya que si se tiene como respuesta datos verídicos es más fácil el ataque, debido a la facilidad obtener datos personales de un usuario a través de cualquier mecanismo de ingeniería social o de estudios de datos personales disponibles públicamente en la red, como por ejemplo, a través de las redes sociales.
  • Fácil de recordar por el usuario. Al utilizarse esporádicamente - sólo en caso de pérdida de la contraseña principal – es necesario que seamos capaces de recordarla, más si tenemos en cuenta que es la última posibilidad de recuperarla, si no queremos perder la cuenta definitivamente.

Por ejemplo, a la pregunta de ¿Dónde nací?, tener una respuesta de difícil asociación, y además fácil de recordar cómo: ’en una cama’ o ’patatas fritas’. Este es uno de los múltiples ejemplos, pero existen otros muchos para no vincular la información de la pregunta y la respuesta.

Con estas pautas dificultamos que un atacante potencial pueda acertar la pregunta secreta y tome el control de la cuenta.

Si se proporciona otro mecanismo para recuperar la contraseña, elimine la pregunta secreta en el caso de que el sistema de seguridad lo permita.

Detalles

Existen principalmente dos mecanismos para recuperar la contraseña de los servicios de correo electrónico a través de Internet:

La recuperación de contraseñas a través de un correo alternativo

Al registrarnos en el servicio podemos incluir una segunda dirección de correo a la que enviaran la nueva contraseña en caso de solicitarla. Utilizar el correo alternativo como método de recuperación de la contraseña es más seguro, porque el sistema enviará la nueva contraseña a una cuenta a la que solo el propietario tiene acceso.

correo electrónico alternativo

La recuperación de contraseñas a través de la pregunta secreta

Otro mecanismo para recuperar la contraseña, es a través de la ’pregunta secreta’. Este mecanismo permite recuperar nuestra contraseña es caso de olvido, pero puede suponer un grave problema de seguridad si no se define correctamente.

Como le ha sucedido al famoso cantante David Bisbal, donde una de sus fans logró apropiarse de su correo electrónico a través de la recuperación de contraseña.

El servicio de recuperación de contraseñas está basado en una pregunta secreta definida durante el registro al servicio, y que puede ser editada en la configuración de nuestra cuenta. Esta pregunta puede estar ya definida por el servicio de correo, o puede ser personalizada por el usuario. Además de la pregunta es necesaria una respuesta a la pregunta, que es lo que solicita al usuario a la hora de recuperar la contraseña y que constituye el mecanismo de seguridad.

Formulario de pregunta secreta.

Cualquier atacante que intente acceder a un correo ajeno a través de la pregunta secreta, y lo consiga, puede hacerse con el control de la cuenta, consultar los mensajes enviados y recibidos. En el peor de los casos si el atacante cambia la contraseña y la pregunta secreta, el propietario puede perder la cuenta de correo con toda la información personal, contactos,…

FACUA ya se ha hecho eco de este problema, y ha denunciado la falta de seguridad del servicio de correo electrónico al considerar que vulnera el artículo 9 de la Ley Orgánica 15/1999, de 15 de diciembre, de Protección de Datos de Carácter Personal.